Hallo zusammen,
ich bräuchte mal Eure Hilfe/Einschätzung zu meinen folgenden Fragen/Bedenken. Ich habe mir über die Oberfläche des DSM ein Zertifikat bei Let's Encrypt mit meiner no-ip DDNS ausstellen lassen. Zu diesem Zweck musste ich die WebStation aus dem Paketzentrum installieren und Port 80 von meiner FritzBox 7490 auf meine DS212+ öffnen/weiterleiten. Außerdem hatte ich die Firewall im DSM deaktiviert. Ich brauche die WebStation eigentlich nicht, weil ich keine Homepage am Laufen habe.
Ich habe hier im Forum gelesen, dass mittlerweile die "automatische Verlängerung" des Zertifikats von LE über den DSM läuft. Dabei muss aber der Port 80 offen sein. Ich möchte aber nicht ständig über Port 80 auf meiner DS212+ (DSM 6.0.1-7393 Update 2) erreichbar sein. Das stellt doch schon ein Sicherheitsrisiko dar? Oder macht ihr das auch?
Ich habe bereits die WebStation gestoppt, aber die "Hello! Welcome to Synology Web Station! Seite wird immer noch angezeigt bzw. ist erreichbar. Liegt wahrscheinlich am immer noch vorhandenen Ordner web mit der darin enthaltenen index.html.
Was soll ich machen? Port 80 dicht machen. Dann funzt die automatiche Verlängerung des Zertifikats nicht mehr. Oder soll ich ca. 14 Tage vor Ablauf den Port 80 wieder öffnen und hoffen, dass verlängert wird? Das Datum wann automatisch verlängert wird, ist mir ja nicht bekannt. Oder soll ich, wie hier im Forum von Moderator goetz vorgeschlagen wurde, eine Aufgabenplanung einrichten und diese dann kurz vor Ablauf des Zertikats manuell ausführen (/usr/syno/sbin/syno-letsencrypt renew-all) und kurzfristig Port 80 öffnen.
Ich habe keine fundierten Kenntnisse was linux, putty und co angeht. Kann auf die Station über Webmin zugreifen.
Besteht nicht irgendwie die Möglichkeit Port 80 offen zu lassen und trotzdem etwas sicherer zu sein. Wie sieht es mit der Einstellung Systemsteuerung/Netzwerk/DSM-Einstellungen/Domain/Benutzerdefinierte Domain aktivieren und HSTS aus? Wird wahrscheinlich wie der Name es schon sagt nur für die DSM-Oberfläche gelten? Kann man in der Web Station unter "Virtueller Host" etwas sicherer machen, wenn Port 80 offen ist? Wie sieht es mit entsprechenden Einstellungen im Anwendungsportal/Reverse Proxy aus?
Wäre nett, wenn ihr mir mitteilen würdet, was ihr für machbar/brauchbar hält, bzw. wie ihr mit dem Problem umgeht!
Schon vorab herzlichen Dank und freundliche Grüße
Stephan
ich bräuchte mal Eure Hilfe/Einschätzung zu meinen folgenden Fragen/Bedenken. Ich habe mir über die Oberfläche des DSM ein Zertifikat bei Let's Encrypt mit meiner no-ip DDNS ausstellen lassen. Zu diesem Zweck musste ich die WebStation aus dem Paketzentrum installieren und Port 80 von meiner FritzBox 7490 auf meine DS212+ öffnen/weiterleiten. Außerdem hatte ich die Firewall im DSM deaktiviert. Ich brauche die WebStation eigentlich nicht, weil ich keine Homepage am Laufen habe.
Ich habe hier im Forum gelesen, dass mittlerweile die "automatische Verlängerung" des Zertifikats von LE über den DSM läuft. Dabei muss aber der Port 80 offen sein. Ich möchte aber nicht ständig über Port 80 auf meiner DS212+ (DSM 6.0.1-7393 Update 2) erreichbar sein. Das stellt doch schon ein Sicherheitsrisiko dar? Oder macht ihr das auch?
Ich habe bereits die WebStation gestoppt, aber die "Hello! Welcome to Synology Web Station! Seite wird immer noch angezeigt bzw. ist erreichbar. Liegt wahrscheinlich am immer noch vorhandenen Ordner web mit der darin enthaltenen index.html.
Was soll ich machen? Port 80 dicht machen. Dann funzt die automatiche Verlängerung des Zertifikats nicht mehr. Oder soll ich ca. 14 Tage vor Ablauf den Port 80 wieder öffnen und hoffen, dass verlängert wird? Das Datum wann automatisch verlängert wird, ist mir ja nicht bekannt. Oder soll ich, wie hier im Forum von Moderator goetz vorgeschlagen wurde, eine Aufgabenplanung einrichten und diese dann kurz vor Ablauf des Zertikats manuell ausführen (/usr/syno/sbin/syno-letsencrypt renew-all) und kurzfristig Port 80 öffnen.
Ich habe keine fundierten Kenntnisse was linux, putty und co angeht. Kann auf die Station über Webmin zugreifen.
Besteht nicht irgendwie die Möglichkeit Port 80 offen zu lassen und trotzdem etwas sicherer zu sein. Wie sieht es mit der Einstellung Systemsteuerung/Netzwerk/DSM-Einstellungen/Domain/Benutzerdefinierte Domain aktivieren und HSTS aus? Wird wahrscheinlich wie der Name es schon sagt nur für die DSM-Oberfläche gelten? Kann man in der Web Station unter "Virtueller Host" etwas sicherer machen, wenn Port 80 offen ist? Wie sieht es mit entsprechenden Einstellungen im Anwendungsportal/Reverse Proxy aus?
Wäre nett, wenn ihr mir mitteilen würdet, was ihr für machbar/brauchbar hält, bzw. wie ihr mit dem Problem umgeht!
Schon vorab herzlichen Dank und freundliche Grüße
Stephan
